מהו תקן PCIDSS ?

רקע
אבטחת מידע ירודה וגידול בפעילות לא חוקית הסבו לבתי עסק ותעשיית כרטיסי אשראי נזקים גבוהים בכסף ובמוניטין.חברות כרטיסי האשראי הבינלאומיות פיתחו תקן המכיל את כלל הדרישות להיבטי אבטחת נתוני כרטיס אשראי. התקן מחייב כל גוף שמעביר, מעבד או  שומר נתוני כרטיסי אשראי חברות סליקה, בתי עסק וספקי שירות צד שלישי כאחד. בעבר חברות האשראי הנהיגו נהלי אבטחת מידע פרטיים. הצורך בתקן אחיד ומבוסס נבע מהתובנה שבנושא אבטחת מידע תעשיית האשראי חייבת לפעול בהתאמה, בנחרצות, וללא פשרות.

ב-2006 חברו חמשת חברות האשראי הבינלאומית והקימו מועצה הנקראת PCI COUNCIL אשר הינו פורום עולמי פתוח שמטרתו 
היא לפתח, לנהל, להפיץ, ולעדכן את תקן ה-
PCI.
מועצת ה
 PCI-קבעה נהלים ברורים ו 12 דרישות בהן:

כל ארגון המעביר, מעבד או שומר נתוני כרטיסי אשראי חייב לעמוד. 
12 דרישות אבטחת המידע כוללות הסבר טכני מפורט המסביר דרכי פעולה לבית עסק
.

פירוט התקן

  1. התקנת ותחזוקת   Firewall על מנת להגן על נתוני כרטיסי האשראי
  2. אל תשתמש בסיסמאות ברירת מחדל של ספקי התוכנה
  3. הגן על נתוני כרטיס השמורים בבסיס הנתונים
  4. הצפן תשדורת נתוני כרטיס העוברים ברשת. הפעל תכנית ניהול פגיעות
  5. השתמש ועדכן תוכנות אנטי וירוס
  6. פתח ושמר מערכות ואפליקציות מאובטחות. ישם מדיניות בקרת גישה יעילה
  7. הגבל גישה של עובדיך לנתוני כרטיסי אשראי על בסיס תפקידם בחברה
  8. הענק שם משתמש ייחודי לכל בעל גישה למחשב
  9. הגבל גישה פיסית לנתוני כרטיסי האשראי. פקח ובדוק את מערכותיך באופן שוטף
  10. עקוב ופקח על הגישה למערכותיך ונתוני כרטיסי האשראי
  11. בדוק באופן שוטף את מערכות אבטחת המידע שלך והתהליכים הרלוונטיים - הפעל מדיניות אבטחת מידע
  12. הפעל מדיניות אבטחת מידע אפקטיבית העונה על איומים קיימים ועתידיים

הגדרת מידע רגיש